[转载]How to ：使用公共IP地址来访问DMZ中的服务器(页 1) - 专题安全方向{ Security Research Papers } - 防火墙[ Firewall ] - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

金州 2006-2-4 09:58

[转载]How to ：使用公共IP地址来访问DMZ中的服务器

信息来源：<A href="http://www.isacn.org/info/info.php?sessid=&infoid=158&page=1">[url]http://www.isacn.org/info/info.php?sessid=&infoid=158&page=1[/url]</A>
当你从ISP处获得了多个Internet的IP地址时，你肯定想在DMZ网络中部署Internet的IP地址，以便对外部网络提供服务。ISA 2004防火墙是支持在DMZ区域中使用公共IP地址的。但是如果直接在DMZ网络中部署公共IP地址，会受到外部ISP路由的限制，外部ISP必须在路由器上添加指向你的DMZ区域网络的路由，否则外部用户是不能访问你的DMZ区域的。
另外一个办法就是在ISA 2004防火墙的外部接口上绑定ISP分配给你的所有Internet的IP地址，然后使用不同的公共IP地址来发布你DMZ区域中的服务器。在这篇文章中，你可以学习到如何部署ISA 2004防火墙实现这一想法。
下图是我们的试验网络拓朴结构，
　
<IMG height=450 src="http://www.isacn.org/pic/MultiIp/Multi_IP.jpg" width=365 border=0>
我们从ISP处获得了61.139.0.4～61.139.0.8共计5个IP地址，然后，我使用61.139.0.5这个IP地址来发布DMZ网络中服务器172.16.0.2上的Web服务，然后使用61.139.0.6这个IP地址来发布172.16.0.2上的Ftp服务。
各计算机的TCP/IP设置如下，此试验中不涉及DNS解析，DNS服务器均设置为空：
DMZ的WWW/FTP服务器：
<UL>
<LI>IP：172.16.0.2/24
<LI>DG：172.16.0.1 </LI></UL>
Client2：
<UL>
<LI>IP：192.168.0.2/24
<LI>DG：192.168.0.1 </LI></UL>
Client1：
<UL>
<LI>IP：61.139.0.1/24
<LI>DG：61.139.0.1 </LI></UL>
ISA防火墙：
Internal接口：
<UL>
<LI>IP：192.168.0.1/24
<LI>DG：None </LI></UL>
DMZ接口
<UL>
<LI>IP：172.16.0.1/24
<LI>DG：None </LI></UL>
External接口
<UL>
<LI>IP：61.139.0.8/24（主要IP） 61.139.0.4/24 61.139.0.5/24 61.139.0.6/24 61.139.0.7/24
<LI>DG：61.139.0.1 </LI></UL>
在此文章中，我们按照以下步骤进行：
<UL>
<LI>使用网络模板配置DMZ网络；
<LI>配置网络规则和访问规则；
<LI>发布DMZ网络中的Web服务器；
<LI>发布DMZ网络中的Ftp服务器；
<LI>测试。 </LI></UL>
 
使用网络模板配置DMZ网络
在安装ISA Server 2004之前，确认各网络间的连通性，这个可以用Ping来进行测试。安装ISA Server 2004过程略，在安装完成后进入ISA Server 2004的管理控制台，你可以看到此时防火墙策略只有默认的Deny all，网络中只有内部网络进行了配置，此时，我们需要配置DMZ网络。这个可以手动建立，不过，我们可以利用更方便的网络模板来建立。
点击网络，在右边的任务面板中，点击模版，然后点击3向外围网络；
<IMG height=255 src="http://www.isacn.org/pic/MultiIp/MultiIp001.jpg" width=500 border=0>
在弹出的欢迎使用网络模版向导页，点击下一步；
在导出ISA服务器的配置页，点击下一步；
在内部网络IP地址页，由于在安装时进行了配置，所以这儿已经显示出了内部网络的IP地址，如下图；
<IMG height=386 src="http://www.isacn.org/pic/MultiIp/MultiIp004.jpg" width=501 border=0>
点击下一步继续；
在外围网络IP地址页，点击添加适配器；
<IMG height=386 src="http://www.isacn.org/pic/MultiIp/MultiIp005.jpg" width=501 border=0>
在弹出的选择网卡对话框，勾选DMZ，点击确定；
<IMG height=386 src="http://www.isacn.org/pic/MultiIp/MultiIp006.jpg" width=501 border=0>
然后在外围网络IP地址页点击下一步；
<IMG height=386 src="http://www.isacn.org/pic/MultiIp/MultiIp007.jpg" width=501 border=0>
在选择一个防火墙策略页，这个根据你的情况自行选择，不过可能都不能适合你的要求，你可以在后面手动进行调整。在此我选择“允许无限制的访问”，然后点击下一步；
<IMG height=386 src="http://www.isacn.org/pic/MultiIp/MultiIp008.jpg" width=501 border=0>
在正在完成网络模版页，点击完成。
此时就已经建好了外围网络，你可以在网络里面看见，如下图。
<IMG height=140 src="http://www.isacn.org/pic/MultiIp/MultiIp010.jpg" width=349 border=0>
 
配置网络规则和访问规则
在这个模版中，对DMZ和外部网网络间使用的是路由的网络路由关系，由于我们在DMZ网络中采用的是172.16.x.x的私有IP地址段，所以我们需要修改为NAT。
点击网络规则，然后双击外围访问，
<IMG height=163 src="http://www.isacn.org/pic/MultiIp/MultiIp011.jpg" width=498 border=0>
在弹出的外围访问属性的网络关系标签，选择网络地址转换（NAT），然后点击确定。
<IMG height=439 src="http://www.isacn.org/pic/MultiIp/MultiIp012.jpg" width=401 border=0>
　
同样的，通过这个模版建立的访问规则中，不允许外围网络访问外部网络，所以我们也需要调整。
点击防火墙策略，双击无限制的Internet访问策略，
<IMG height=159 src="http://www.isacn.org/pic/MultiIp/MultiIp013.jpg" width=550 border=0>
然后在从标签，点击添加，在添加网络实体对话框中添加外围网络，完成后如下图所示，点击确定；
<IMG height=466 src="http://www.isacn.org/pic/MultiIp/MultiIp015.jpg" width=405 border=0>
　
 
发布DMZ网络中的Web服务器
我们现在要使用61.139.0.5这个外部IP地址来发布内部的Web服务器，右击防火墙策略，指向新建，然后选择Web服务器发布规则；
<IMG height=185 src="http://www.isacn.org/pic/MultiIp/MultiIp016.jpg" width=559 border=0>
在欢迎使用新建Web发布规则向导页，为此规则输入一个名字，在此我命名为Publish DMZ's Web server，点击下一步；
在请选择规则操作页，选择允许，然后点击下一步；
在请定义要发布的网站页，输入DMZ网络中Web服务器的IP地址，在此为172.16.0.2，点击下一步；
<IMG height=425 src="http://www.isacn.org/pic/MultiIp/MultiIp019.jpg" width=502 border=0>
在公共名称细节页，在接受请求栏选择任何域名，然后点击下一步；
在选择Web侦听器页，点击新建，
<IMG height=425 src="http://www.isacn.org/pic/MultiIp/MultiIp021.jpg" width=502 border=0>
在欢迎使用新建Web侦听器向导页，输入Web侦听器的名字，在此我命名为Listen 61.139.0.5's 80，点击下一步；
在IP地址页，勾选外部，然后点击地址按钮，
<IMG height=392 src="http://www.isacn.org/pic/MultiIp/MultiIp023.jpg" width=503 border=0>
在弹出的外部网络侦听器IP选择页，选择在此网络上选择的IP地址，然后在可用的地址栏选择61.139.0.5，然后点击添加，最后点击确定；
<IMG height=392 src="http://www.isacn.org/pic/MultiIp/MultiIp024.jpg" width=503 border=0>
在IP地址页，点击下一步；
<IMG height=392 src="http://www.isacn.org/pic/MultiIp/MultiIp025.jpg" width=503 border=0>
在端口指定页，接受默认的HTTP 80端口，点击下一步；
在正在完成新建Web侦听器向导页，点击完成。
在选择Web侦听器页，点击下一步；
<IMG height=423 src="http://www.isacn.org/pic/MultiIp/MultiIp028.jpg" width=501 border=0>
在用户集页，接受默认的所有用户，点击下一步；
在正在完成新建Web发布规则向导页，点击完成，此时，Web发布规则就建立好了。
 
发布DMZ网络中的Ftp服务器
现在我们使用61.139.0.6这个外部IP地址来发布DMZ网络中FTP服务。右击防火墙策略，指向新建，然后选择服务器发布规则；
在欢迎使用新建服务器发布规则向导页，输入规则的名字，在此我命名为Publish DMZ's Ftp server，点击下一步；
在选择服务器页，输入DMZ网络中Ftp服务器的IP地址，在此是172.16.0.2，点击下一步；
在选择协议页，选择FTP服务器，然后点击下一步；
在IP地址页，勾选外部，然后点击地址按钮；
<IMG height=395 src="http://www.isacn.org/pic/MultiIp/MultiIp035.jpg" width=502 border=0>
在弹出的外部网络网络侦听器IP选择对话框，选择在此网络上选择的IP地址，然后在可用的地址栏选择61.139.0.6，然后点击添加，最后点击确定；
<IMG height=395 src="http://www.isacn.org/pic/MultiIp/MultiIp036.jpg" width=502 border=0>
在IP地址页，点击下一步；
<IMG height=395 src="http://www.isacn.org/pic/MultiIp/MultiIp037.jpg" width=502 border=0>
在正在完成新建服务器发布规则向导页，点击完成，此时，我们的FTP服务发布也就完成了。
 
测试
现在我们来测试一下我们刚才建立的配置，首先是在内部网络的计算机Client2上，访问172.16.0.2的Ftp服务，
<IMG height=322 src="http://www.isacn.org/pic/MultiIp/MultiIp038.jpg" width=464 border=0>
服务是可以访问的。
现在我们回到Internet上的主机Client1上，我们来使用HTTP访问ISA上绑定的几个外部IP地址试试，
<IMG height=470 src="http://www.isacn.org/pic/MultiIp/MultiIp039.jpg" width=546 border=0>
可以很清楚的看到，只有我们发布了Web服务的61.139.0.5这个IP才能访问Web服务，其他的IP地址都不能。
现在我们测试一下访问这几个IP地址上的FTP服务，
<IMG height=382 src="http://www.isacn.org/pic/MultiIp/MultiIp040.jpg" width=470 border=0>
如上图，只有发布了FTP服务的61.139.0.6才能访问。
最后，我们在DMZ网络的服务器上看看我们的FTP日志，如下图
<IMG height=166 src="http://www.isacn.org/pic/MultiIp/MultiIp041.jpg" width=536 border=0>
你可以很清楚的看到外部IP地址为61.139.0.1的登录；至于前面一个172.16.0.1的IP地址，是我开始用内部网络中的Client2来访问留下的。至于为什么会留下这个IP地址，前面的图上是有答案的，我就不会回答了。

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]How to ：使用公共IP地址来访问DMZ中的服务器